Avast | Bug Bounty Program

El programa de recompensas de errores de Avast fué diseñado para recompensar a los investigadores de seguridad por encontrar problemas en el software.


Cómo informar de un error y calificar para la recompensa:

Envíe los errores a la dirección de correo electrónico bugs@avast.com

Un buen informe de error debe contener información suficiente para reproducir de manera confiable el error reportado. Incluya toda la información que pueda ser relevante: contexto, descripción detallada del error, payload (si corresponde), etc.

Recibirá una respuesta de un miembro del equipo de Avast con acuse de recibo de su correo electrónico.


Reglas básicas

El programa de recompensas está diseñado solo para errores relacionados con la seguridad y calificarán para la recompensa en el siguiente orden de importancia:

  • Ejecución de código remoto: estos son los errores más críticos.
  • Escalada de privilegios locales: es decir, usar Avast para, por ejemplo, obtener derechos de administrador de una cuenta que no sea de administrador.
  • Denegación de servicio (DoS): en el caso de Avast, eso sería típicamente BSODs o crashes del proceso AvastSvc.exe
  • Ciertos Scanner Bypasses: estos incluyen derivaciones claras y directas (es decir, escenarios que conducen a una infección directa, sin entrada adicional del usuario), en oposición a cosas como deficiencias en el motor de desempaquetado, etc, agregando una nueva definición de virus (por favor no reporte malware no detectado)
  • Otros errores con graves implicaciones de seguridad (se considerarán caso por caso).


Recompensas por vulnerabilidades de seguridad

El pago mínimo es de $400 por error. Dependiendo de la criticidad del error, la recompensa es mucho mayor (cada error válido es valorado independientemente por un panel de expertos de Avast).

Los errores de ejecución de código remoto se pagan entre $6,000 - $10,000 o más.

Este programa solo trata sobre errores en Avast. Por ejemplo, si encuentra un error en una librería de Microsoft (incluso si lo usa Avast), infórme a Microsoft y háganoslo saber también.

Actualmente, el programa se limita a las versiones de Avast para Windows (es decir: Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security y Avast Premier). Solo se considerarán los errores en las últimas versiones de envío de estos productos.

El pago se realizará preferentemente por PayPal.

Los informes deben presentarse en inglés.

No aceptamos envíos de los siguientes países: Irán, Siria, Cuba, Corea del Norte y Sudán.